Ransomware or Wiper? RedBoot Encrypts Files but also Modifies Partition Table 실행 될 경우 컴퓨터의 파일들을 암호화 시키고, 시스템 드라이브의 MBR을 바꿔치기 하고, 특정 방식으로 파티션 테이블을 수정하는 새로운 bootlocker 랜섬웨어가 발견 되었습니다. 이 랜섬웨어는 RedBoot이라 명명 되었습니다. 이 랜섬웨어는 MBR과 파티션 테이블을 복구시키기 위한 key를 입력하는 방법을 제공하지 않고 있어, 이 개발자가 부팅이 가능한 복호화를 제공하지 않는다 가정했을 때 이는 와이퍼 악성코드일 가능성이 높습니다. RedBoot의 암호화 프로세스 컴파일 된 AutoIT 실행파일인 RedBoot 랜섬웨어가 실행 되면, 이는 런처가 실행 된 경..

국내외 보안동향 2017. 9. 27. 11:05

Passwords For 540,000 Car Tracking Devices Leaked Online 차량 추적 장치 회사인 SVR Tracking의 로그인 크리덴셜 50만개 이상이 온라인에 유출 돼, 개인 정보와 운전자 및 사업체의 차량 세부정보가 노출 되었습니다. Kromtech Security Center는 활짝 열려있어 누구나 접근이 가능했던 잘못 설정 된 아마존 웹 서버 (AWS) S3 클라우드 스토리지 버킷이 SVR의 캐시를 가지고 있었던 것을 발견했습니다. 훔친 차량 기록(Stolen Vehicle Records)이라는 뜻의 SVR은 고객들이 차량에 물리적 추적 장치를 부착해 실시간으로 차량의 위치를 모니터링해, 고객이 차량을 도난 당한 경우 그들의 차량을 모니터링하고 찾아올 수 있도록 돕습..

국내외 보안동향 2017. 9. 25. 15:57

해당 취약점은 Samba SMB1에 존재하는 것으로, 쓰기 권한이 있는 Samba 계정을 갖고 있는 공격자가 원격에서 Samba 서버의 메모리 정보를 탈취할 수 있도록 허용합니다. 취약점 내용 SMBv1 프로토콜이 사용자 request 범위에 대해 엄격히 검사하지 않아 사용자가 이미 전송한 데이터의 크기를 초과하여 서버의 메모리 정보가 파일에 작성되도록 허용합니다. 하지만 서버 메모리 내 어떠한 정보가 유출될 지는 알 수 없습니다. 취약점 번호 CVE-2017-12163 영향받는 버전 모든 Samba 버전 패치방법 1) Samba 4.6.8, 4.5.14 및 4.4.16로 업데이트 (▶ 참고)2) SMBv2 사용smb.conf의 [global]에서 설정을 "server min protocol = SMB2..

국내외 보안동향 2017. 9. 25. 15:01

안녕하세요. 이스트시큐리티입니다.지난 7월 정보보호의 달을 맞아 ‘이스트시큐리티와 함께 하는 랜섬웨어 바로알기 캠페인’이 진행되었습니다. 2017년, 랜섬웨어 공격의 현주소는 어떨까요?신종, 변종 등 다양한 랜섬웨어가 확산되어 전 세계적으로 피해가 급증하고 있다는 것은 모두 잘 알고 계시는 사실일 텐데요. 랜섬웨어 공격자들은 사용자 PC에 대한 지능적이고 다양한 공격방법으로 지속적인 공격 시도를 하고 있기 때문에, 지금은 랜섬웨어 위협 비상사태라고 해도 과언이 아닙니다. 진화하는 랜섬웨어 위협에 맞서, 우리는 충분히 대비하고 있을까요? ‘이스트시큐리티와 함께 하는 랜섬웨어 바로알기 캠페인’으로 랜섬웨어에 관한 우리의 보안인식은 얼마만큼 와 있는 지 살펴보도록 하겠습니다. 1) PC보안 현황 - 상대적으로..

전문가 기고 2017. 9. 25. 08:30

최근 보안연구원이 고키보드(Go Keyboard) 위젯이 사용자를 모니터링 하고 있다고 밝혔습니다. 고키보드는 중국 개발업체인 GOMO Dev Team 이 개발한 안드로이드 키보드 앱으로, 현재 구글플레이에서 키보드 앱 1위를 차지하고 있습니다. GOMO Dev Team은 고키보드 뿐만 아니라 고런처, 고락커 등 다양한 고 시리즈의 앱들을 통해 사용자들에게 서비스를 제공하고 있습니다. 하지만 이런 고키보드가 사용자 정보를 유출하여 원격에 있는 서버로 전송하며, 사용 금지된 기술을 이용하여 실행가능한 위험성이 높은 코드를 내려받는 문제점도 확인되었습니다. 이번 개인정보 탈취 사실은 보안연구원들은 해당 위젯이 불필요한 트래픽을 발생시키는지 여부를 확인하다가 발견되었습니다. 보안연구원들은 이렇게 사용자 정보을..

국내외 보안동향 2017. 9. 22. 16:46

CCleaner Malware Infects Big Tech Companies With Second Backdoor CCleaner의 다운로드 서버를 하이잭해 악성 버전의 소프트웨어를 배포한 해커들이 2단계 페이로드를 통해 최소 20개의 주요 글로벌 기술 기업들을 노리고 있는 것으로 나타났습니다. 이번주 초 CCleaner 해킹 사건(▶ 참고)이 보도 되었을 때, 연구원들은 사용자들에게 2단계 악성코드는 없었기 때문에 악성 소프트웨어를 제거하기 위해서는 버전 업데이트만 진행하면 된다고 말했었습니다. 하지만, 악성 버전의 CCleaner가 연결 된 해커의 C&C 서버를 분석해본 결과 보안 연구원들은 2단계 페이로드 (GeeSetup_x86.dll, 경량 백도어 모듈)이 로컬 도메인 명을 기반으로 특정 컴퓨..

국내외 보안동향 2017. 9. 22. 15:42

안녕하세요. 이스트시큐리티입니다. 과거 다양한 변종으로 전세계에 악명을 떨친 ‘Trojan.Ransom.LockyCrypt(이하 Locky 랜섬웨어)’가 다시 등장하였습니다. 이 Locky 랜섬웨어는 파일 암호화 간 ‘diablo6’ 확장자로 변경하는 점이 특징입니다. 본 분석 보고서에서는 Locky 랜섬웨어를 상세 분석 하고자 합니다. 이번 Locky 랜섬웨어는 불특정 다수를 대상으로 한 스팸 메일에서 유포되었습니다. 메일은 ‘Files attached. Thanks’, 즉 ‘파일을 첨부하였다. 고맙다’의 내용을 담고 있습니다. 이는 메일을 받은 이들의 호기심을 자극하여 첨부된 파일을 실행하도록 하는 의도로 보여집니다. 첨부된 압축 파일 안에 있는 ‘E 2017-08-09 (672).vbs‘는 Lock..

악성코드 분석 리포트 2017. 9. 22. 13:14

[9월 셋째주] 알약 스미싱 알림 본 포스트는 알약 안드로이드 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'와 '다수 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 1. 특이 문자 No.문자 내용 1 [Web발신] 김한빛고객님 8.29 배송입니다 확인하세요2 내일 결^혼 선^발 웨딩^드레^스 사진 보여^드릴^까요 2. 다수 문자 No.문자 내용 1 저희사랑과믿음으로하나를이루려고합니다 2017.7.16~ 한아름예식장 2 ^^ 여^기^에^ 너 ^이상한 동영상^ 있^는데 바로 삭제하세요 출처 : 알약 안드로이드기간 : 2017년 9월 16일 ~ 9월 22일

안전한 PC&모바일 세상/스미싱 알림 2017. 9. 22. 13:14